クラウド型だから場所・デバイスを問わず 安全に利用できるゲートウェイセキュリティー

  • クラウドセキュリティー
  • 2019.09.06

Office 365 などのクラウドアプリケーションの利用拡大を背景に、インターネットと社内ネットワークの出入り口となるゲートウェイセキュリティーが大きく変化しています。オンプレミスで構築・運用してきた従来のゲートウェイセキュリティーでは、急増するトラフィックに対応できず、遅延が発生するなど業務のボトルネックになり始めています。こうした課題を解消するのがクラウド型ゲートウェイセキュリティー「Zscaler(ゼットスケーラー)」です。クラウド型認証基盤やCASBなどのソリューションと組み合わせることで、よりセキュアで便利なクラウドアプリケーションの利用を実現します。

トラフィック量の増加による負荷を低減できる

Office 365 やBoxなどのクラウドアプリケーションの利用に伴い、これまでのゲートウェイセキュリティーのトラフィック量が増加し、過負荷や遅延が課題になっています。また、既存のセキュリティーインフラを拡張・リプレースする場合、機器の調達・導入などに時間がかかってしまいます。さらに新たなクラウドアプリケーションの利用でトラフィックが増加することも見込まれ、適切にサイジングするのは困難です。

このような課題の解決に期待されているのが、クラウド型ゲートウェイセキュリティーです。例えば、世界5000社以上で利用されているクラウド型ゲートウェイセキュリティーのZscalerは、社内外のアクセスを中継し、安全・簡単にインターネットとイントラネットを利用できる2種類のサービスを提供しているのが特徴です。

その1つ、Zscaler Internet Access(ZIA)は、インターネットアクセス時のゲートウェイセキュリティー機能をクラウドで提供するサービスです。インターネットに接続できる環境であれば、どこからでも、どんなデバイスでもプロキシーやURLフィルター、マルウェア対策などといったセキュリティー機能を適用。従来のように本社やデータセンターなどに設置されたゲートウェイに接続することなく、支社・営業拠点、社外のモバイル環境から安心してクラウドアプリケーションを利用できます。

Zscaler-Iwatake「クラウド型であれば、機器の調達が不要ですぐに利用できます。トラフィックの増加に対してサービス側で対応するため、あらかじめサイジングする必要もバージョンアップの必要もありません」とユニアデックス・ソリューションマネージャーの岩竹智之はZIAの利点を話します。

Zscalerはユーザーが国内、海外のどこでも同じポリシーを適用できます。例えばグローバルな事業展開を進める企業では、現地法人がダイレクトにクラウドサービスを導入しているでしょう。その際、本社では現地法人がどのようなクラウドアプリケーションを利用しているのか管理できず、セキュリティーガバナンスの面でリスクを抱えてしまいます。

こうした課題に対し、Zscalerは国内と同じポリシーを海外の拠点、ユーザーにも適用。「世界中に150カ所以上のアクセスポイントがあり、どこからでもZscalerを介してポリシーに応じたクラウドアプリケーションの利用と制御が可能です」と同チーフスペシャリストの越渡俊幸はZscalerの特徴を説明します。

社内アプリケーションへも安全にアクセス

Zscalerのもう1つのサービスがZscaler Private Access(ZPA)です。従来、社外で利用するモバイル端末や協力会社といったエンドポイントで、社内のイントラネットに接続する場合、VPN(Virtual Private Network)を利用するのが一般的でした。しかしZPAはSSL通信を利用して、簡単な操作で社内アプリケーションに安全に接続できる通信環境を提供します。

ZPAはポリシー制御やユーザーごとのアクセス制御を行うZ-Cloud、端末用ソフトウェアのZ-App、社内のアプリケーションサーバーに接続するZ-Connectorで構成。Z-ConnectorはZ-Cloudに対してHTTPSのアウトバウンド通信のみで接続し、イントラネット側にIPアドレスを公開する必要がありません。このため「外部から公開IPアドレスを狙った攻撃を受けるリスクを回避できるのです」(岩竹)。

また一般的なVPNと異なり、Zscalerはユーザーの属性やポリシーに応じてインターネット(ZIA)とイントラネット(ZPA)の同時利用が可能です。例えば、社外のモバイル端末からZIAでOffice 365 を利用しながら、ZAPで社内イントラネットのアプリケーションサーバーに置かれた勤怠管理システムにアクセスするといった使い方が可能です。「ユーザーは意識することなく、インターネットとイントラネットのアプリケーションを使い分けられます」(越渡)。

【2種類のサービスを提供するZscaler】

Zscaler-TwoServices

ゼロトラストに基づいたSDPとして注目

Zscalerはクラウド型ゲートウェイに求められる多彩なセキュリティー機能と高速処理を備えています。近年、インターネット接続時に利用されるSSL暗号通信のHTTPSを悪用し、SSLにマルウェアを侵入させるといったサイバー攻撃も増えています。こうした攻撃に対し、ZscalerはリアルタイムでSSLの復号化と再暗号化を行う独自のSSLスキャニング技術を搭載。マルウェアの有無を確認でき、HTTPSを悪用した攻撃を防御できます。

また、パケットインメモリー方式による高速スキャンを実施。従来のゲートウェイの場合、マルウェア対策、URLフィルタリング、サンドボックス、情報漏えい対策といった多段のスキャンが必要なため、過負荷やスキャニングのプロセスが遅延の原因にもなっていました。Zscalerはパケットをメモリーに取り込んで一括処理するため高速なスキャニングにより、遅延を大幅に抑制します。

さらに、岩竹は「きめ細かなアクセス制御やポリシー制御が可能なZscalerは、ゼロトラストの概念に基づいたSDP(Software Defined Perimeter)として注目されています」と話します。ゼロトラストは社内のIT環境は安全ではない(信頼できない)という前提で対策を考えるもの。その対策として、境界ですべてのトラフィックを検査したり、ユーザーのアクセス制御などを行ったりするのがSDPです。Zscalerはポリシーに合致した端末のみインターネット、イントラネットのアプリケーションへのアクセスを許可するなど、SDPとして機能します。

IDaaSやCASBと連携すればよりセキュアな環境に

Zscalerはクラウド型認証基盤サービス(IDaaS)の「Okta」や、クラウドの可視化やユーザーの振る舞いを制御するCASB(Cloud Access Security Broker)の「McAfee MVISION Cloud」などと組み合わせることで、よりセキュアな環境の実現が可能です。

Zscaler-koito1例えばOktaとZscalerを連携することにより、社外のモバイル端末のユーザーに対して生体認証などの多要素認証を組み合わせ、より強固な本人認証が行えます。さらに、クラウドサービス側にパスワードを持たないSAMLなどの認証基盤としてOktaは機能し、Zscalerと連携して複数のクラウドサービスのシングルサインオン(SSO)環境を実現します。また、McAfee MVISION Cloudは、クラウドサービスのセキュリティーリスクなどをデータベース化。Zscalerが取得するログ情報をMVISION Cloudで分析し、リスクの高いサービス情報をZscalerにフィードバックすることで、クラウドサービスへのアクセス要求を拒否するといった連携が可能です。

こうしたOktaやMcAfee MVISION Cloudなどのサービスとの連携には、APIの実装や事前の検証が欠かせません。「クラウドサービスの利点は、様々なサービスを組み合わせて利用することで大きな効果を発揮できることです。お客様の課題やニーズをヒアリングしながら、Zscalerを中心にIDaaSやCASBを連携するためのAPIの開発・実装や事前検証を行い、最適なセキュリティープラットフォームづくりを進めています」と越渡は話します。


【IDaaS「Okta」やCASB「McAfee MVISION Cloud」などと連携】

Zscaler-renkei

これらのサービスを組み合わせて導入するとメリットは大きいものの、サービスごとの運用管理が必要になり、情報システム部門の負荷が高くなる懸念もあります。

そこで、ユニアデックスではZscaler、Okta、McAfee MVISION Cloudなどのクラウドサービスを一元的に運用できるツールを開発中です。運用管理の負担を低減するツールを含め、クラウド時代に求められる新たなセキュリティープラットフォームを実現します。

<プロフィール>

Iwatake

ユニアデックス株式会社
エクセレントサービス創生本部
プロダクト&サービス企画部
NW&SECサービス企画室
セキュリティー課
ソリューションマネージャー
岩竹 智之

Koito

ユニアデックス株式会社
DXビジネス創生本部
ソリューション開発統括部
デジタルソリューション部
二課
チーフスペシャリスト
越渡 俊幸

    おすすめ記事

    IDaaSとは 増え続けるIDによって
    企業のセキュリティー確保はますます困難に

    IDaaS

    なかなか進まない企業のデジタル化「DXガイドラインはなぜつくられた?

    DXGuideLine

    CASBとは
    ~可視化から始めるCASB実装~

    casb